Эксперт: Причиной Heartbleed стал устаревший метод управления памятью

image

Теги: Heartbleed, уязвимость, память, OpenSSL

Лидер проекта OpenBSD считает, что появления уязвимости можно было избежать, если бы в ПО OpenSSL использовались более современные техники управления памятью.

С момента обнаружения уязвимости Heartbleed исследователи пытаются определить, что именно послужило причиной бреши в OpenSSL, благодаря которой стала возможной утечка информации и цифровых ключей. По одной из версий, Heartbleed возникла в функции управления памятью в OpenSSL.

Лидер проекта OpenBSD Тео де Раадт (Theo de Raadt) считает, что появления уязвимости и ее пагубного влияния на интернет можно было избежать, если бы в программном обеспечении OpenSSL использовались более современные техники управления памятью. По его словам, метод управления памятью, используемый в OpenSSL для повышения производительности, хранит содержимое памяти «почти вечно», что еще больше обостряет проблемы, подобные Heartbleed.

«Heartbleed не работала бы вообще, если бы распределитель [памяти] в полной мере подчищал память, как это делают другие программы», - отметил Раадт. Патч, выпущенный для OpenSSL, исправляет лишь программную ошибку, ставшую причиной уязвимости, однако в криптографическом пакете может существовать множество других, еще не обнаруженных уязвимостей.

Бен Лори (Ben Laurie) из OpenSSL заявил, что намерен деактивировать функцию памяти, о которой говорил Раадт, однако добавил, что доказательств того, что именно она послужила причиной Heartbleed, не обнаружено.     


или введите имя

CAPTCHA
ыыыыыыыыыы
18-04-2014 00:40:08
Если бы код был протестирован юнит-тестами в том числе на подобные уязвимости, то такой бы коммит вообще не был бы принят.
0 |